暗号化キーファイルはどこに保存する必要がありますか？

暗号化されたボリュームと同じ場所にキーファイルを保存しても意味がありません。暗号化は、復号化キーが暗号化されたボリュームとは別に保存されている場合にのみ役立ちます。頭の中、リムーバブルデバイス（USBキー、スマートカードなど）などです。

（同じ場所に保存されているキーを使用して暗号化を有効にするには、クイックワイプが1つあります。キーをワイプすることで、暗号化されたボリューム上のデータを効果的にワイプできます。ボリューム全体をワイプする必要はありません。ただし、それは限界です。）

フルディスク暗号化を使用するには、起動時に何らかの方法で復号化キーを入力する必要があります。したがって、パスフレーズを入力するか、キーファイルを含むリムーバブルデバイスを挿入する必要があります。

暗号化は、（コンピューターの残りの部分の有無にかかわらず）ディスクを盗む人に対してのみ役立ちます。コンピュータ上で実行されているソフトウェアから保護することはできません。オペレーティングシステムの分離およびアクセス制御メカニズムがそれを行います。システムを起動すると、コンピューターを盗むことに対する保護（離れているときにキーボードで入力してコンピューターを一時的に「盗む」ことを含む）は画面ロックです。

これがシングルユーザーシステムの場合、フルディスク暗号化以外の追加の暗号化が役立つシナリオは多くありません。攻撃者はあなたのアカウントにアクセスでき、すべてのファイルにアクセスできます。または、攻撃者はあなたのアカウントにアクセスできず、ディスクをコンピュータに置いて暗号化されたディスクを残す以外は何にもアクセスできません。そして（キーがディスクで盗まれなかったと仮定して）それを解読する方法はありません。

特に機密性が高いと思われるファイルがあり、それらを頻繁に使用しない場合は、暗号化の第2層を使用することで利点が得られます。その場合は、別のパスフレーズで暗号化してください。次に、コンピューターがマルウェアに感染している場合、マルウェアは最も機密性の高いすべてのファイルにアクセスできなくなり、マルウェアに気付く前に復号化キーを入力したファイルにのみアクセスできます。

暗号化の第2層の別の利点は、実行中にコンピューターを盗み、RAMからキーを抽出する比較的高度な攻撃者から保護することです。コンピューターの前にいないときに復号化されたボリュームをアンマウントするようにコンピューターを構成することで、これを防ぐことができます。これには、システムファイルにアクセスできる状態を維持する必要があるため（フルディスク暗号化をスキップして個人ファイルのみを暗号化する場合を除く）、第2層の暗号化が必要です（復号化ソフトウェアとキーを読み取るためのインターフェイスが使用可能である必要があります）。 iOSとAndroidは、まだこの時点に達していない場合、そのような設定に向かっていると思いますが、Linuxでこれを設定する簡単な方法はわかりません。

キーファイル自体を暗号化されたコンテナに保存するという側面に関しては、暗号化されたコンテナが別のキーファイルではなくパスフレーズで保護されている場合にのみ意味があり、コンテナがリムーバブルドライブである場合にのみ役立ちます。リムーバブルドライブをパスフレーズで保護すると、誰かがドライブを盗んだがパスフレーズを推測できない場合、その人はデータを復号化できなくなります。ただし、繰り返しになりますが、キーファイルがデータと同じメディア上にある場合、そもそもキーファイルを使用するメリットはありません。